Esta idea recurrente en ciberseguridad va camino de convertirse en un tópico. Pero como la mayoría de los tópicos, encierra una verdad: los datos no se van de una organización por su propio pie. Son las personas las que nos dejan salir. O se los llevan ellos mismos, o dejan la puerta abierta para que alguien se aproveche.
En un entorno como este, en el que los ciberdelincuentes son menos proclives a atacar vulnerabilidades de software y están mucho más interesados en nuestras identidades, el perímetro tal como lo conocíamos ha desaparecido. En la actualidad, nuestros empleados (las personas) son el perímetro: estén donde estén (en cliente o en la nube) y utilicen los sistemas, dispositivos y credenciales que utilicen para acceder a nuestros datos.
No hace falta decir que si los ciberataques se dirigen específicamente contra nuestros empleados (o mejor dicho, sus identidades), nuestras ciberdefensas también deben ser específicas. Sin embargo, en el caso de organizaciones con grandes plantillas (buena parte de ellas teletrabajando) que acceden a nuestras redes a través de diversos endpoints, esta tarea resulta cada vez más complicada.
Para proteger a nuestros empleados y, en consecuencia, nuestra empresa, necesitamos un conocimiento detallado de quién accede a los datos, así como de cómo, cuándo, dónde y por qué. Solo cuando tengamos toda esta información podremos empezar a implementar las protecciones donde más se necesitan, formar a los usuarios sobre los riesgos a los que se enfrentan y luchar contra los ciberdelincuentes en la nueva frontera de nuestras identidades.
Neutralizar las amenazas internas
Por si no fuera suficientemente complicado defender un perímetro nuevo y más fluido, el mayor interés por nuestras identidades plantea otro problema. Nuestros empleados ya se encuentran dentro de nuestras defensas tradicionales. Por lo tanto, para proteger frente a usuarios maliciosos, comprometidos o negligentes, que facilitan la pérdida de datos, necesitamos defender de dentro hacia fuera.
El correo electrónico sigue siendo el principal punto de entrada de las amenazas comunes y avanzadas, por lo que toda defensa eficaz empieza por la bandeja de entrada. Nuestros empleados deben comprender la importancia de utilizar credenciales sólidas, el riesgo de la reutilización de contraseñas, y los peligros que presentan los mensajes de phishing, los enlaces maliciosos y los adjuntos falsos.
En el estudio para el informe 2024 State of the Phish, Proofpoint descubrió que los profesionales de la seguridad de Europa y Oriente Medio mencionaron la reutilización de contraseñas como el comportamiento más arriesgado, y el segundo comportamiento más habitual entre los usuarios
Las herramientas de protección del correo electrónico pueden ser útiles para esta tarea, gracias a que filtran los mensajes maliciosos antes de que lleguen a la bandeja de entrada. Esto ayuda a reducir el número de empleados comprometidos. Sin embargo, los equipos de seguridad deben asumir en todo momento que las amenazas atravesarán las líneas de defensa, incluso con las tasas de detección habituales, que se sitúan por encima del 99 %. Y cuando lo hacen, se necesitan capas de seguridad adicionales para detenerlas en seco.
Las herramientas avanzadas de prevención de la pérdida de datos empresariales (DLP) y de gestión de amenazas internas (ITM) proporcionan esta capa adicional. Gracias al análisis de la telemetría de contenido, comportamientos y amenazas, estas herramientas identifican comportamientos anormales o sospechosos que pueden dar lugar a la pérdida de datos.
Los usuarios negligentes fueron la causa de pérdida de datos más mencionada en nuestro primer informe El panorama de la pérdida de datos en 2024. Para abordar este problema, podría considerar cortar este comportamiento negligente con un aviso de seguridad. Por ejemplo, supongamos que un empleado intenta enviar archivos confidenciales en un archivo de texto sin formato. Un sencillo mensaje emergente que les pida reconsiderar su acción podría impedir que se filtraran estos datos. Además, se captura un registro completo del incidente, que puede añadir un contexto real a la formación sobre concienciación en materia de seguridad. Otro error que puede cometer un usuario negligente es enviar un correo electrónico a un destinatario equivocado. Según nuestra investigación, 1 de cada 3 usuarios envió por error uno o dos correos electrónicos al destinatario equivocado.
En caso de que se produzca un incidente interno malicioso, las herramientas DLP e ITM inteligentes detectarán y alertarán a los equipos de seguridad de cualquier comportamiento de alto riesgo. Podría tratarse de un usuario que descarga una aplicación no autorizada en un equipo de la empresa o que cambia el nombre de los archivos para ocultar sus intenciones y cubrir su rastro.
En el caso de los empleados que abandonan la empresa (que siguen siendo una de las principales razones de la pérdida de datos de origen interno), los equipos de seguridad pueden adoptar un enfoque más proactivo. Al prestar atención específica a estos empleados de alto riesgo, se consigue establecer con claridad sus intenciones. Si dispone de las herramientas adecuadas, puede capturar registros de actividad, capturas de pantalla, contenido de correo electrónico, etc., para las investigaciones legales y de recursos humanos.
Detectar el compromiso de cuentas
Las amenazas internas, representadas por usuarios internos que filtran o exponen datos de forma activa no son los únicos riesgos de los que debemos preocuparnos en la era del perímetro centrado en las personas. Debemos prestar la misma atención a los agentes o actores de amenazas que logran infiltrarse en nuestras organizaciones.
A menudo, nuestros empleados ayudan a estos adversarios, ya sea mediante contraseñas débiles o cayendo víctimas del phishing y otros ataques. Sea como sea, necesitamos herramientas para limitar el daño que pueden causar. En la mayoría de los casos, los ciberdelincuentes detrás de cuentas de usuario comprometidas intentarán pasar desapercibidos, desplazándose lateralmente por nuestras redes para escalar sus privilegios e identificando datos para robarlos más tarde.
Durante esta fase, una solución DLP e ITM avanzada puede detectar cualquier cosa fuera de lo normal. Por ejemplo:
- ¿Intenta acceder a nuevos datos, sistemas o ubicaciones de red?
- ¿Iniciar sesión desde una ubicación nueva o inusual?
- ¿Transfiere archivos a o desde unidades y dispositivos nuevos o no autorizados?
Si algo parece sospechoso en el contenido al que accede un usuario o en la forma en que accede a los datos, los equipos de seguridad pueden intervenir. Pueden actuar con rapidez para eliminar permisos e impedir cualquier otra actividad.
Defender los datos con Proofpoint Information Protection
Cuando se trata de detectar actividades internas sospechosas, el contexto lo es todo. Ahí es donde la prevención de la pérdida de datos tradicional suele quedarse corta. Las herramientas heredadas nacieron de los centros de datos y se diseñaron para comprender lo que el usuario medio podría hacer en una organización.
Proofpoint Information Protection va más allá. Sus funciones DLP e ITM de dos agentes protegen contra la pérdida de datos por parte de los usuarios “normales” al tiempo que priorizan las protecciones en los empleados de alto riesgo. Es la única plataforma de protección de la información que fusiona la clasificación de contenidos, la telemetría de amenazas y la supervisión del comportamiento de los usuarios en todos los canales en una interfaz unificada y nativa de la nube. Esto significa que obtendrá una visión mucho más clara, precisa y contextual de los riesgos potenciales procedentes de su empresa.
Escuche la serie de podcasts “Insider Insight” para obtener más información el enfoque centrado en las personas de Proofpoint para proteger los datos.
¿Busca un análisis global de seguridad sobre empleados salientes, ciberdelincuentes decididos y correo electrónico equivocado? Descargue nuestro primer informe El panorama de la pérdida de datos en 2024.